• 發布單位:TWCERT/CC
• 更新日期:2019-03-25
• 點閱次數:278

近日一場大規模網路釣魚活動震撼冰島，攻擊者向成千上萬的人發送了惡意電子郵件，企圖欺騙受害者安裝強大的遠端存取工具，當地警方也表示這是襲擊該國的最大網路攻擊。

襲擊事件發生在10月6日星期六晚上，攻擊者透過電子郵件冒充冰島警察發送訊息，信中要求收件人協助偵詢，並警告他們因其違規行為而導致逮捕令發出，信中一個連結將受害者導引至假冒版本的Lögreglan「冰島警察」，並讓內容看起來似乎提供更多有關事件的詳細資訊。

Cyren的研究人員在調查期間與警方合作時解釋，為了使一切看起來都是真實的，該釣魚活動的作者使用同形異義技巧來註冊一個看起來像原始“logreglan.is”的網域名稱，攻擊者註冊網域名稱「www.logregian.is」，使用小寫「i」（乍看可能像小寫”L“或”l“）。

Cyren高級威脅分析師Magni Sigurdsson表示，此次網路釣魚計劃的複雜性，對於冰島而言是一個全新的威脅，攻擊者使用的工具是Remcos，是一種功能強大的工具，可作為存取遠端電腦的合法解決方案，但被用於惡意目的。

Sigurdsson表示，攻擊中使用的版本是2.0.7 Pro，它提供對其運行的工作站的完全存取權限，當惡意使用Remcos時，攻擊者也依賴在啟動時運行的VBSscript，以確保Remcos的執行。

網路釣魚郵件中的連結將受害者帶到一個模仿冰島警方官方網站幾乎完美的網站，並要求用戶輸入他們的社會安全號碼（SSN）。

在冰島可以通過銀行提供的服務對名稱和SSN進行公開諮詢，因此個人必須登錄當地銀行的在線帳戶才能執行此程式。

如果用戶輸入了錯誤的SSN，則合法服務會顯示提示進行更正的警報。網路釣魚網站無法驗證數字的真實性，因此他們通常會接受用戶輸入的任何資訊。

但是，在此釣魚活動的情況下，攻擊者能夠以某種方式檢查數字的有效性，從而增加欺騙性。另一種理論是他們可能使用的是過去洩露的資料庫。

攻擊者建立了一個複雜的網路釣魚活動，普通用戶很難檢測到。假冒的冰島警方網站要求受害者輸入他們在網路釣魚郵件中收到的身份驗證碼，以獲取有關針對他們的警方案件的更多詳細資訊。

在下一步中，受害者在受密碼保護的檔案中接收所謂的文件，並在網頁上提供密鑰，該密鑰實際上是用於竊取資訊並允許攻擊者遠端存取受害電腦的打包RAT。

Cyren指出，提取的.rar文件是一個.scr檔案（Windows螢幕保護程式）偽裝成一個長文字的文字檔，因此檔案副檔名是隱藏的。文件名是「Boðun skýrslutöku LRH 30 Óktóber.scr」，大致翻譯為「10月30日被警方打電話詢問」。

研究人員發現，攻擊者利用Remcos竊取銀行資訊，因為它檢查受害者是否可以存取冰島最大的銀行，而對RAT的分析表明，設置接收被盜資料的命令和控制（C2）伺服器位於德國和荷蘭。

此時攻擊者仍然不為人知，但警方認為該活動是熟悉冰島行政系統的人的工作，從電子郵件和虛假網站上的文字可以支持此理論。

該活動的防禦反應非常迅速，登入頁面的網域名稱在檢測到攻擊後的第二天即被刪除，在襲擊期間發送了數以千計的惡意電子郵件，但警方目前沒有發布有關受害者人數的任何資訊。

參考連結：

https://www.bleepingcomputer.com/news/security/largest-cyber-attack-against-iceland-driven-by-complex-phishing-scheme/
https://www.cyren.com/blog/articles/iceland-police-phishing-attack-targets-bank-credentials
https://twitter.com/malwrhunterteam/status/1050704965747003398
https://twitter.com/James_inthe_box/status/1050707007966044162